什么是震网病毒?
震网病毒***Stuxnet病毒***,是一个席卷全球工业界的病毒,该病毒与2010年6月首次被检测出来,也是第一个专门定向攻击真实世界中基础***能源***设施的“蠕虫”病毒。下面由我给你做出详细的震网病毒介绍!希望对你有帮助! 震网病毒介绍如下: 该病毒是有史以来最高阶的“蠕虫”病毒。蠕虫病毒是一种典型的计算机病毒,它能自我复制,并将副本通过网路传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。震网病毒作为世界上首个网路“超级破坏性武器”,已经感染了全球超过 45000个网路,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。 录1简要概述2发现历程3事件资讯4主要特点5深度分析第一章 事件背景第二章 样本典型行为分析第三章 解决方案与安全建议第四章 攻击事件的特点第五章 综合评价6展望思考专家称其高阶性显示攻击应为国家行为病毒肆虐将影响我国众多企业 简要概述编辑 震网***Stuxnet***,指一种蠕虫病毒。它的复杂程度远超一般电脑黑客的能力。这种震网***Stuxnet***病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础***能源***设施的“蠕虫”病毒,比如核电站,水坝,国家电网。网际网路安全专家对此表示担心。 “震网”病毒利用了微软视窗作业系统之前未被发现的4个漏洞。通常意义上的犯罪性黑客会利用这些漏洞盗取银行和信用卡资讯来获取非法收入。而“震网”病毒不像一些恶意软体那样可以赚钱,它需要花钱研制。这是专家们相信“震网”病毒出自情报部门的一个原因。 据全球最大网路保安公司赛门铁克***Symantec***和微软***Microsoft***公司的研究,近60%的感染发生在伊朗,其次为印尼***约20%***和印度***约10%***, 亚塞拜然、美国与巴基斯坦等地亦有小量个案。 由于“震网”感染的重灾区集中在伊朗境内。美国和以色列因此被怀疑是“震网”的发明人。 这种新病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB介面,这种病毒就会在神不知鬼不觉的情况下***不会有任何其他操作要求或者提示出现***取得一些工业用电脑系统的控制权。 震网病毒,瑞星公司监测到一个席卷全球工业界的病毒已经入侵中国,这种名为Stuxnet的蠕虫病毒已经造成伊朗核电站推迟发电,目前国内已有近500万网民、及多个行业的领军企业遭此病毒攻击。瑞星反病毒专家警告说,我们许多大型重要企业在安全制度上存在缺失,可能促进Stuxnet病毒在企业中的大规模传播。 2010年6月,白俄罗斯一家安全公司首先发现Stuxnet,其后许多计算机专家加入追踪,他们认为,这种蠕虫可能自去年就开始传播。据全球最大网路保安公司Symantec初步研究,近60%的感染发生在伊朗,其次为印尼***约20%***和印度***约10%***, 亚塞拜然、美国与巴基斯坦等地亦有小量个案。这种新病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB介面,这种病毒就会在神不知鬼不觉的情况下不会有任何其他操作要求或者提示出现***取得一些工业用电脑系统的控制权。 历史发现编辑 2010年6月,“震网”病毒首次被发现,它被称为有史以来最复杂的网路武器,因为它悄然袭击伊朗核设施的手法极其阴险。[2] 2010年12月15日,一位德国计算机高阶顾问表示,“震网”计算机病毒令德黑兰的核计划拖后了两年。这个恶意软体2010年一再以伊朗核设施为目标,通过渗透进“视窗”作业系统,并对其进行重新程式设计而造成破坏。 据全球最大网路保安公司Symantec初步研究,近60%的感染发生在伊朗,其次为印尼***约20%***和印度***约10%***,亚塞拜然、美国与巴基斯坦等地亦有小量个案。这种新病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB介面,这种病毒就会在神不知鬼不觉的情况下***不会有任何其他操作要求或者提示出现***取得一些工业用电脑系统的控制权。 2011年1月26日,俄罗斯常驻北约代表罗戈津表示,这种病毒可能给伊朗布什尔核电站造成严重影响,导致有毒的放射性物质泄漏,其危害将不亚于1986年发生的切尔诺贝利核电站事故。 ”人还:
震网病毒的背景?
世界上每天都有新病毒产生,大部分都是青少年的恶作剧,少部分则是犯罪分子用来盗取个人资讯的工具,震网病毒也许只是其中之一,它的背景是什么样的呢!下面由我给你做出详细的震网病毒背景介绍!希望对你有帮助! 震网病毒背景介绍: 首先,它利用了4个Windows零日漏洞。零日漏洞是指软体中刚刚被发现、还没有被公开或者没有被修补的漏洞。零日漏洞可以大大提高电脑入侵的成功率,具有巨大的经济价值,在黑市上,一个零日漏洞通常可以卖到几十万美元。即使是犯罪集团的职业黑客,也不会奢侈到在一个病毒中同时用上4个零日漏洞。仅此一点,就可以看出该病毒的开发者不是一般黑客,它具备强大的经济实力。并且,开发者对于攻击目标怀有志在必得的决心,因此才会同时用上多个零日漏洞,确保一击得手。 其次,它具备超强的USB传播能力。传统病毒主要是通过网路传播,而震网病毒大大增强了通过USB介面传播的能力,它会自动感染任何接入的U盘。在病毒开发者眼中,似乎病毒的传播环境不是真正的网际网路,而是一个网路连线受到限制的地方,因此需要靠USB口来扩充传播途径。 最奇怪的是,病毒中居然还含有两个针对西门子工控软体漏洞的攻击,这在当时的病毒中是绝无仅有的。从网际网路的角度来看,工业控制是一种恐龙式的技术,古老的通讯方式、隔绝的网路连线、庞大的系统规模、缓慢的技术变革,这些都让工控系统看上去跟网际网路截然不同。此前从没人想过,在网际网路上氾滥的病毒,也可以应用到工业系统中去。 5深度分析编辑 第一章 事件背景 2010年10月,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的资料采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。 Stuxnet蠕虫***俗称“震网”、“双子”***在2003年7月开始爆发。它利用了微软作业系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程式的数字签名;通过一套完整的入侵和传播流程,突破工业专用区域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意程式码。据赛门铁克公司的统计,截止到2010年09月全球已有约45000个网路被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗 *** 已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。 安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,释出了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、600多个不同杂凑值的样本实体。 第二章 样本典型行为分析 2.1 执行环境 Stuxnet蠕虫在以下作业系统中可以启用执行: Windows 2000、Windows Server 2000 Windows XP、Windows Server 2003 Windows Vista Windows 7、Windows Server 2008 当它发现自己执行在非Windows NT系列作业系统中,即刻退出。 被攻击的软体系统包括: SIMATIC WinCC 7.0 SIMATIC WinCC 6.2 但不排除其他版本存在这一问题的可能。 2.2 本地行为 样本被启用后,典型的执行流程如图1 所示。 样本首先判断当前作业系统型别,如果是Windows 9X/ME,就直接退出。 接下来载入一个主要的DLL模组,后续的行为都将在这个DLL中进行。为了躲避查杀,样本并不将DLL模组释放为磁碟档案然后载入,而是直接拷贝到记忆体中,然后模拟DLL的载入过程。 具体而言,样本先申请足够的记忆体空间,然后Hookntdll.dll汇出的6个系统函式: ZwMapViewOfSection ZwCreateSection ZwOpenFile ZwClose ZwQueryAttributesFile ZwQuerySection 为此,样本先修改ntdll.dll档案记忆体映像中PE头的保护属性,然后将偏移0x40处的无用资料改写为跳转程式码,用以实现hook。 进而,样本就可以使用ZwCreateSection在记忆体空间中建立一个新的PE节,并将要载入的DLL模组拷贝到其中,最后使用LoadLibraryW来获取模组控制代码。 此后,样本跳转到被载入的DLL中执行,衍生下列档案: %System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF 其中有两个驱动程式mrxcls.sys和mrxnet.sys,分别被注册成名为MRXCLS和MRXNET的系统服务,实现开机自启动。这两个驱动程式都使用了Rootkit技术,并有数字签名。 mrxcls.sys负责查询主机中安装的WinCC系统,并进行攻击。具体地说,它监控系统程序的映象载入操作,将储存在%Windir%\inf\oem7A.PNF中的一个模组注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个程序中,后两者是WinCC系统执行时的程序。 mrxnet.sys通过修改一些核心呼叫来隐藏被拷贝到U盘的lnk档案和DLL档案。 ”人还: